January 26, 2026

Cybersecurity ed energia

La resilienza delle infrastrutture critiche passa dalla difesa collettiva

image

Il punto di vista di Certego

Il settore energetico è tra i più strategici e vulnerabili nel panorama cyber globale. La natura critica delle infrastrutture, l’elevata interconnessione dei sistemi e un contesto geopolitico sempre più instabile rendono energia e cybersecurity due dimensioni ormai inseparabili. Il confronto con grandi operatori industriali – come emerge anche dall’intervista a Francesco Ceraso, Head of Security Cyber Intelligence – restituisce un quadro lucido e privo di semplificazioni: un settore in cui la convergenza tra IT e OT, la pressione geopolitica e la crescente integrazione delle filiere fanno sì che ogni attacco informatico possa rapidamente trasformarsi in un evento sistemico, con impatti che vanno ben oltre il perimetro dell’organizzazione colpita.

I dati confermano questa tendenza. Dal report State of Cybersecurity di Certego, basato sull’analisi di oltre 1.200.000 asset IT monitorati, emerge che nel primo semestre del 2025 in Italia gli attacchi verso il settore energetico sono aumentati del 4,3%. Un dato che non racconta solo una crescita quantitativa, ma segnala un’evoluzione qualitativa delle minacce, sempre più orientate a campagne strutturate, persistenti e ad alto impatto operativo.

Dalla protezione degli asset alla resilienza del sistema

Un attacco cyber alle infrastrutture energetiche non resta mai confinato: blackout, interruzioni di fornitura e impatti su trasporti, telecomunicazioni e servizi essenziali sono scenari concreti. La cybersecurity, quindi, non può essere letta come una funzione tecnica isolata, ma è un elemento strutturale della sicurezza nazionale e della stabilità economica. “Nel settore energetico la posta in gioco è la continuità operativa del Paese. Parlare di cybersecurity significa parlare di resilienza sistemica, non solo di protezione dei singoli asset”, sottolinea Bernardino Gregorio Grignaffini, CEO & Founder di Certego.

Threat Intelligence: anticipare, non solo reagire

Un elemento centrale nella visione di Certego è il ruolo della Threat Intelligence. La capacità di individuare segnali deboli, campagne in fase di preparazione e pattern comportamentali avanzati è oggi ciò che consente di passare da una difesa reattiva a una postura realmente proattiva. Come ricorda Grignaffini: “La vera differenza oggi la fa la capacità di anticipare le mosse dell’avversario. La Threat Intelligence non è un feed di indicatori, ma un processo continuo di analisi, contestualizzazione e previsione, soprattutto in ambienti complessi come quelli IT/OT”. Inoltre, è importante evidenziare come, nel settore energetico, la persistenza silente degli attaccanti rappresenta una delle minacce più insidiose. Chi attacca può restare all’interno delle reti per mesi, mappando sistemi e processi, in attesa del momento più opportuno per massimizzare l’impatto.

Condivisione delle informazioni e difesa collettiva

Un altro elemento chiave per la sicurezza del settore energetico è il valore dell’information sharing. Nessuna organizzazione può avere una visibilità completa sul panorama delle minacce: la sicurezza del singolo dipende sempre più da quella dell’intero ecosistema. “La difesa collettiva è l’unico modello sostenibile. Condividere informazioni sulle minacce in modo tempestivo e strutturato significa aumentare il livello di sicurezza di tutti”, continua Grignaffini. In quest’ottica che Certego partecipa attivamente a circuiti internazionali di scambio informativo come FIRST (Forum of Incident Response and Security Teams), contribuendo a una visione globale delle minacce emergenti, particolarmente rilevante in un contesto esposto a dinamiche geopolitiche complesse.

Supply chain e convergenza IT/OT: le nuove superfici di attacco

L’attenzione crescente verso la supply chain e la convergenza tra IT e OT rappresenta uno dei nodi critici per il futuro del settore energetico. Ogni fornitore, partner tecnologico o sistema interconnesso diventa un potenziale vettore di attacco. “La sicurezza della supply chain non è più un tema di compliance, ma di sopravvivenza operativa. Serve visibilità, monitoraggio continuo e capacità di risposta coordinata lungo tutta la filiera”, evidenzia Grignaffini. In questo scenario, servizi MDR evoluti, supportati da intelligence contestualizzata e capacità di detection avanzata, diventano un abilitatore essenziale per governare la complessità e ridurre il rischio.

Oltre la tecnologia: governance e normativa

Il rafforzamento della sicurezza delle infrastrutture energetiche passa anche da un quadro normativo europeo sempre più strutturato. La Direttiva NIS2 amplia in modo significativo gli obblighi per operatori essenziali e importanti, includendo esplicitamente energia e utilities, e introduce requisiti più stringenti su gestione del rischio, governance, supply chain security e incident reporting. A livello europeo, iniziative coordinate da ENISA, esercitazioni congiunte e programmi di cooperazione transfrontaliera mirano a rafforzare una postura comune di difesa, riconoscendo che un attacco a un’infrastruttura critica in uno Stato membro può avere impatti sistemici sull’intera Unione.

Quando il cyber diventa fisico

La storia recente dimostra come queste minacce non siano solo teoriche. Nel contesto delle guerre che oggi vengono definite ibride, in cui la dimensione cyber svolge un ruolo centrale accanto a quella militare, economica e informativa, il comparto energetico rappresenta uno degli obiettivi più strategici. Gli attacchi informatici contro infrastrutture elettriche, come quelli subiti dalla rete ucraina, dimostrano come operazioni cyber mirate possano provocare blackout, interrompere servizi essenziali e avere un impatto diretto sulla popolazione. Il conflitto russo-ucraino ha reso evidente che colpire l’energia significa colpire la resilienza di un Paese. Ma la realtà è che la tecnologia, da sola, non basta. Formazione, consapevolezza e integrazione della cybersecurity nei processi di governance sono fattori determinanti per costruire una reale resilienza. “La cybersecurity nel settore energetico, così come in tutti i settori essenziali, è una responsabilità condivisa. Tecnologia, persone e processi devono evolvere insieme, con una visione chiara del rischio e del contesto in cui si opera”, conclude Grignaffini.



Cybersecurity ed energia: la nuova frontiera della sicurezza nazionale

Intervista a Francesco Ceraso, Head of Security Cyber Intelligence di Eni S.p.A.

La sicurezza delle infrastrutture energetiche è oggi una delle sfide più critiche nel panorama geopolitico e industriale globale. Attacchi cyber sempre più sofisticati, convergenza tra IT e OT e nuove superfici di rischio impongono un cambio di paradigma nella difesa del settore Energy & Utilities. In questa intervista, Francesco Ceraso, Head of Security Cyber Intelligence di Eni S.p.A., analizza l’evoluzione delle minacce informatiche, il ruolo strategico della cyber intelligence e dell’intelligenza artificiale, e l’importanza della collaborazione tra aziende, istituzioni e partner internazionali per garantire la resilienza di infrastrutture considerate oggi un pilastro della sicurezza nazionale.

Quali sono oggi le principali minacce informatiche che riguardano le infrastrutture energetiche critiche, come oleodotti, gasdotti e reti elettriche?

Il numero di attacchi riusciti nel settore Energy & Utilities è aumentato di oltre una volta e mezza in cinque anni, dal 2020 al 2024 (fonte Clusit). Ma non solo: le minacce che investono oggi il settore energetico rappresentano un’evoluzione qualitativa oltre che quantitativa. Non si tratta più di attacchi opportunistici, ma di campagne coordinate e multi-vector, condotte da attori con capacità quasi militari e finalità di lungo termine. Il ransomware non è più solo uno strumento di estorsione: nei contesti OT (Operational Technology) può diventare un’arma di sabotaggio capace di bloccare processi fisici e interrompere la continuità operativa. In questo scenario, la convergenza tra IT e OT e la diffusione di tecnologie IoT industriali amplificano la superficie d’attacco, creando una molteplicità di entry point difficilmente governabili con gli approcci tradizionali. Questa evoluzione si inserisce in un contesto geopolitico sempre più complesso, in cui attacchi ransomware e operazioni sponsorizzate da stati – come quelle attribuite a Lazarus Group, CyberAv3ngers, Sandworm Team e Midnight Blizzard – prendono di mira infrastrutture energetiche critiche, dagli oleodotti ai server SCADA fino alle reti PLC. Dal punto di vista della cyber intelligence, il fenomeno più preoccupante resta la persistenza silente: attori ostili che infiltrano le reti, costruiscono accessi privilegiati, mappano sistemi e restano dormienti fino al momento in cui l’impatto operativo e mediatico può essere massimizzato.

Quali sono le conseguenze potenziali di un attacco informatico riuscito su una rete energetica?

Un attacco informatico a un’infrastruttura energetica non ha mai un effetto confinato al dominio digitale: si trasforma rapidamente in un evento fisico, economico e geopolitico. Le possibili conseguenze includono blackout su larga scala, interruzione delle forniture di gas o petrolio, compromissione di sistemi SCADA e DCS, o – nei casi più gravi – danneggiamento fisico degli impianti. Inoltre, l’effetto domino su altri settori critici, come trasporti, servizi di emergenza, logistica o telecomunicazioni, legati tra di loro da interdipendenze operative, è spesso inevitabile con ricadute a cascata su tutte le infrastrutture vitali del Paese.

Dal punto di vista dell’intelligence, questi attacchi rientrano nel paradigma delle minacce ibride, dove la componente cyber è solo un tassello di una strategia più ampia di pressione economica o disinformativa. Un’operazione riuscita contro una rete elettrica può essere utilizzata come leva diplomatica o strumento di coercizione geopolitica. È per questo che la resilienza delle infrastrutture energetiche è sempre più vista come un pilastro della sicurezza nazionale.

Quanto è importante la collaborazione con enti governativi, agenzie di sicurezza e altri operatori del settore per prevenire e rispondere alle minacce cyber?

La collaborazione è la vera chiave di volta della sicurezza cibernetica moderna. Nessuna organizzazione, nemmeno la più strutturata, può disporre di una visibilità completa sul panorama delle minacce. Il valore dell’infosharing è quindi determinante: la condivisione tempestiva di indicatori di compromissione, tattiche e pattern comportamentali consente di anticipare gli attacchi prima che diventino incidenti. In Italia, il legame operativo tra le aziende del settore energetico, l’Agenzia per la Cybersicurezza Nazionale (ACN), il CNAIPIC della Polizia Postale rappresenta un modello consolidato, ma serve estenderlo in una logica cross-border che includa anche ENISA, Europol, NATO CCDCOE e partner industriali internazionali.

L’approccio più efficace resta quello della collective defense, dove la difesa di un attore diventa la difesa dell’intero sistema. Le cyber range e le esercitazioni congiunte – soprattutto interdisciplinari – sono elementi fondamentali per testare la resilienza, validare i playbook di risposta e migliorare il coordinamento tra attori pubblici e privati. In un contesto in cui le minacce evolvono in ore, e non in mesi, la velocità nella diffusione delle informazioni è spesso l’elemento che determina la differenza tra contenere un attacco e subirlo.

Che ruolo può giocare oggi l’intelligenza artificiale nella protezione delle reti energetiche da attacchi informatici?

L’intelligenza artificiale rappresenta un force multiplier per la difesa cibernetica, ma anche un fattore di rischio se mal gestita. Nella cyber threat intelligence, l’IA viene oggi impiegata per l’analisi predittiva, la correlazione massiva di eventi, la rilevazione di anomalie comportamentali e la priorizzazione automatica degli allarmi. Questo permette di passare da modelli di difesa reattiva a paradigmi di difesa predittiva e adattiva, riducendo drasticamente i tempi di detection e migliorando l’accuratezza nel distinguere tra rumore e reale minaccia.

Parallelamente, però, l’IA è sempre più utilizzata anche dagli attori ostili: per automatizzare campagne di spear phishing, generare deepfake credibili, creare malware autoevolutivi o orchestrare attacchi mirati con logiche di decision loop autonomo. La sfida è quindi duplice: sfruttare l’IA per rafforzare la protezione, ma anche difendersi dall’IA offensiva. Ciò richiede investimenti in algoritmi explainable, per rendere trasparenti e comprensibili le decisioni e i risultati prodotti dai modelli di intelligenza artificiale e capacità umane di supervisione. Alla base deve esserci un principio etico: la sovranità sui dati e sugli algoritmi è ormai parte integrante della sovranità digitale e, quindi, della sicurezza nazionale.

Quali investimenti state facendo in cybersecurity e quali sono le priorità strategiche per i prossimi anni?

La transizione energetica e la trasformazione digitale stanno ridefinendo il paradigma industriale, esponendo le infrastrutture energetiche a nuove vulnerabilità e minacce cyber sempre più sofisticate, amplificate da dinamiche geopolitiche instabili. In questo scenario, la cybersecurity non può più essere considerata una funzione tecnica isolata, ma deve essere integrata nella governance strategica dell’azienda e nella gestione della supply chain energetica.

La catena delle forniture rappresenta oggi uno degli elementi più sensibili e strategici per la sicurezza del settore energetico. La crescente interconnessione tra operatori, fornitori e partner tecnologici genera nuove superfici di attacco, dove una singola vulnerabilità può propagarsi rapidamente lungo tutta la filiera, mettendo a rischio la continuità operativa e la resilienza dell’intero sistema. Per rispondere a queste sfide, Eni ha adottato un modello organizzativo “glocal”, con una governance centrale forte e una presenza locale capillare, che consente di monitorare costantemente gli asset IT e OT. In questo contesto, la cyber intelligence di Eni svolge un ruolo proattivo e centrale: non si limita a reagire agli attacchi, ma lavora per anticiparli grazie a modelli predittivi sviluppati internamente e alla collaborazione con istituzioni e partner privati. L’analisi continua delle minacce e delle vulnerabilità lungo la supply chain permette di identificare tempestivamente i rischi emergenti, rafforzando la postura difensiva dell’azienda e garantendo la continuità operativa anche in scenari di crisi. Per questo Eni ha inserito Il rischio cyber tra i principali rischi aziendali, gestendolo con strumenti avanzati e una valutazione integrata nel processo di risk management, estesa anche ai fornitori strategici.

Per rafforzare ulteriormente questa strategia, Eni investe costantemente in programmi di sensibilizzazione e formazion che coinvolgono tutti i livelli aziendali e i partner della filiera, promuovendo una cultura della sicurezza diffusa e consapevole. Simulazioni di phishing, corsi online e campagne di comunicazione contribuiscono concretamente a ridurre il rischio e a rafforzare la capacità di risposta. In ultima analisi, oggi è chiaro che la cybersecurity non rappresenta più un costo, ma un fattore abilitante di resilienza e vantaggio competitivo. Questa consapevolezza guida la nostra strategia per i prossimi anni: proteggere le infrastrutture energetiche significa, sempre più, proteggere la tenuta economica e sociale del Paese e la stabilità del suo futuro energetico.

Registrati

Registrati alla nostra newsletter

Cliccando invia, acconsento all'uso dei miei dati personali in accordo con Certego Privacy Policy per finalità sub. 2 paragrafo “Finalità del trattamento dei dati e base giuridica” Certego will not sell, trade, lease, or rent your personal data to third parties.

Perché Certego
Perché Certego
    Servizi
    Piattaforma
    Risorse
    Azienda
    Copyright © 2026 www.certego.net
    Certego S.R.L. · P.I. 03517100362
    Certego S.R.L.
    Address: Via F. Lamborghini 81, 41121 Modena (MO)